5G網絡取代傳統網絡有利于推動新業態發展,有利于加強行業應用安全能力。但5G安全是一項長期工作,需要以“零事故”為目標,進一步增強面向行業應用的安全能力,解決5G替代面臨的關鍵安全問題,護航5G應用發展。

一、5G網絡具有先進性,將催生一批新興業態的出現和發展

5G行業應用已廣泛開展。5G在行業應用具有先進性和不可替代性,將催生一批新興業態的出現和發展。

在智能制造領域,隨著產業結構的轉變,傳統的大批量生產方式正在向柔性生產轉變。由于生產設備需要能在一定范圍內移動,且滿足網絡實時性、穩定性的要求,5G是最為合適的生產網組網方式。5G特有的網絡切片可以使不同廠家的業務系統獨立運行,避免相互干擾和安全隱患,有利于傳統制造業轉型和培育新業態。

在智慧醫療應用中,5G網絡推動遠程醫療發展,將核心城市的高水平醫療能力通過網絡遠程投放。該應用需要開展遠程影像傳輸、診斷和處置,乃至開展遠程手術,對網絡的可靠性、實時性、帶寬和移動性都有較高的要求, 5G是最適合的網絡。

在車聯網應用中,車路協同與自動駕駛離不開5G網絡的支持。在車路協同情況下,采用5G網絡能夠實現低時延、高可靠、高速率和大連接的能力,實現車輛間位置、速度、行駛方向和行駛意圖的溝通,更有利于道路智能設備輔助車輛對環境進行感知。

云手機、AR/VR、元宇宙等云終端應用需要5G網絡支撐。在基礎設施云化、應用服務化和保障數據安全等多重背景下,云終端應用得以快速發展。所有的數據應用均在云端,終端僅通過加密通道進行音視頻展示和交互。為保障云終端應用的用戶體驗,需要高帶寬和實時性,因此5G網絡配合邊緣計算將是最適合的基礎條件。

二、從安全角度看,5G取代傳統網絡有利于加強行業應用安全能力

從發展角度看5G更安全,也更適合應用于重要行業。5G網絡是一個體系化、組織化的網絡,其終端實名認證、物理位置易定位,信令面有管理控制權而黑客難以直接進入,與分散無序的互聯網相比能夠實現更強的安全管控能力,與行業專網相比有更快的技術迭代能力。

5G比互聯網更安全:互聯網是無序的,無法定位威脅的源頭。互聯網上的黑客隱藏在虛擬網絡中,很難定位其攻擊的源頭。而5G網絡是垂直管理的有序網絡,可以追溯到每一片區域,每一個基站,甚至每一臺終端,快速定位攻擊源頭,切斷攻擊傳播路徑。

5G比現有的專網更安全:現有的專網多是封閉體系,建成之后專網專用,技術迭代緩慢甚至停滯不前。封閉體系只能解決當前的問題,解決不了發展的問題,從而導致封閉體系最終一定會落后。因此傳統專網在一定的時間和范圍內可以保證高安全,但不可持續。而5G是更先進也更靈活的網絡,其技術進步是不斷迭代發展的,應用的范圍廣,承受的攻擊更多,改進也更快。雖然暫時可能還存在一定的安全問題,但從發展的眼光看,其前景是光明的。

三、5G網絡實現基礎安全能力,但5G應用于行業需要進一步增強安全能力

5G 安全特性的增強,使得5G網絡具備內在的安全基礎能力。相比之前的移動通信網絡,5G網絡在安全性方面做了切實的加強:

  • 5G實現了更好的空口安全,進一步支持用戶數據的完整性保護機制,防范用戶數據的篡改攻擊。
  • 5G加強了用戶隱私保護,用戶永久身份SUPI 以加密形式發送。
  • 5G實現了更好的漫游安全,在傳輸層和應用層對運營商間的信令進行端到端安全保護。
  • 5G實現了密碼算法增強,以應對越來越強大的算力破解。

5G網絡在安全性方面的加強使其能夠更好的應對傳統威脅,但5G應用于行業是一個新課題,從行業應用的角度看,5G網絡仍面臨嚴峻網絡安全挑戰:

攻擊暴露面擴大:

原來封閉的生產網絡、業務系統開始向外界打開。網絡、應用、數據有了更多的暴露面,帶來了新的安全風險。

數據泄露風險加劇:

數據的開放、共享和持續流動加劇了信息數據的泄露風險。5G獨有的邊緣計算技術,產生了大量終端側數據,數據的實時吞吐量很大,不僅增加了攻擊點、擴大了攻擊范圍,還更容易被篡改和竊取。

個性化安全需求劇增:

5G是面向應用而生的,和場景關聯性極強,5G時代下,新業務場景的安全需求千差萬別,需要針對不同行業的差異化需求、不同的業務場景量身定做個性化的網絡安全解決方案。

四、5G行業應用需要解決的關鍵安全問題

5G應用面臨的網絡安全問題是一個系統問題,涉及網絡安全、終端安全、數據安全、業務安全等問題。并且通常應用行業和企業不僅部署5G,而是多網融合的信息和業務系統,因此需要在行業整體網絡安全體系框架下解決5G安全問題。當前5G行業應用需要解決的關鍵安全問題主要包括3個方面:

(1)行業使用5G網絡需要開展雙向防護

5G行業應用帶來的新型網絡邊界需要重點進行邊界阿防護,區別于傳統邊界,應從運營商側和行業側開展雙向防護。做到任務清晰、責任明確。運營商側邊界防護,重點防御來自企業網絡的流量攻擊,以流量解析、隔離、DDOS防護為主,防止黑客控制行業業務對運營商大網的穩定運行造成破壞。行業側邊界防護,重點防御來自運營商網絡的APT攻擊,以漏洞利用、間諜軟件、深度威脅為主。防止黑客通過運營商網絡滲透進行業網絡,進而破壞行業業務。

(2)實現IT-CT-OT網絡一體化安全監測

從業務應用角度和網絡角度,信息化辦公網絡(IT網絡)、數字化生產網絡(OT網絡)和面向行業應用的移動通信網絡(CT網絡)一體化已成為必然趨勢。因此要增強5G行業應用安全監測能力,需要打破了孤島,實現CT-IT-OT網絡一體化流量分析。通過對信令安全監測、IT基礎設施的安全監測、工業應用的安全監測,面向行業網絡流量進行綜合分析,加強網絡威脅發現能力并實現實時告警。

(3)實現增強的身份認證與訪問控制

5G業務應用需要做二次認證。即UE設備向核心網認證,而UE的應用向業務系統認證。將二次認證進行統一,可以綁定設備與應用,并增強行為分析能力,構建用戶、終端、網絡、服務之間統一的信任體系。進一步可以通過零信任打通IT與CT認證機制。將CT入網和漫游認證信息作為基礎環境安全要素,對于運行在可疑設備上的業務應用進行重點監控。將IT持續認證和行為分析結果反饋給CT作為用戶入網控制的決策依據。對運行危害網絡安全應用的移動接入設備做斷網、限流等處理。

五、5G應用安全建設是一項長期工作,應以“零事故”為目標實現聯合作戰、精準防護、深度運營

在行業應用領域,5G替代傳統網絡是一個長期過程。行業應用不同于個人消費,受國內外供需關系、產業規模、利潤率等多方面因素影響,其生產設備、網絡的更新迭代需要更長的周期。我國工業總體規模龐大,數字化率相對較低,在很多行業和領域替換5G網絡暫時還不是剛需,這些因素都會影響5G替代的進程,也同時影響5G行業應用安全工作的推進。

著眼于當前形勢和未來發展趨勢,5G行業應用安全當以“零事故”為目標實現聯合作戰、精準防護、深度運營,在保障不出現重大網絡安全事故的前提下,統籌發展與安全,融合形成統一的安全架構,護航5G應用發展。

(1)聯合作戰

全流量檢測+態勢感知實現聯合作戰:建立全面監控能力,實現網絡安全能力的高效協同。

通過全流量威脅檢測全面監測網絡安全異常行為,防止終端惡意接入,及時發現隔離失效、非法訪問、越權管理等安全事件;結合網絡基礎設施運行狀態,對網絡安全態勢做出評估,提供針對性的預防建議。通過一體化安全態勢感知將CT側的信令安全、IT側的邊緣計算平臺安全和OT側的工業應用安全相結合,通過網絡行為與業務應用行為的對比分析,精準定位威脅。

(2)精準防護

構建用戶、終端、網絡、服務之間統一的信任體系。

通過零信任將用戶的身份信息、地理位置信息、行為操作、終端信息等,和業務訪問有機結合起來,構建用戶、終端、網絡、服務之間統一的信任體系。開展持續進行信任評估,持續提供主體信任等級評估、資源安全等級評估以及環境評估等評估數據,確保合適的人、在合適的時間、以合適的方式,訪問合適的數據。

(3)深度運營

用合規檢測實現深度運營。定期開展實戰攻防演習和安全測試,及時發現問題解決問題。梳理識別5G網絡中的安全資產,分析安全威脅風險,并借助專業的5G仿真工具進行攻防測試,檢測5G接入網、核心網和各種類型的攻擊行為,及時消除隱患,不斷提升安全防御能力。

5g網絡 網絡安全 5g 網絡安全防護
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接